คณะกรรมการคุ้มครองข้อมูล (DPC) ในไอร์แลนด์ปรับ Meta Platforms Ireland Limited (MPIL) เป็นเงิน 91 ล้านยูโร (ราวๆ 3,300 ล้านบาท) เนื่องจากเก็บรหัสผ่านของผู้ใช้หลายร้อยล้านคนในรูปแบบข้อความธรรมดา (plaintext)
เหตุการณ์เกิดขึ้นในปี 2019 เมื่อ Meta ได้เปิดเผยเรื่องนี้ต่อสาธารณะและแจ้งให้ DPC ทราบ ซึ่งได้เริ่มการสอบสวนเกี่ยวกับวิธีการเก็บข้อมูลผู้ใช้ที่ละเอียดอ่อนของบริษัทเทคโนโลยีรายใหญ่
“ในเดือนมีนาคม 2019 MPIL แจ้ง DPC ว่าได้เก็บรหัสผ่านบางส่วนของผู้ใช้โซเชียลมีเดียในรูปแบบ ‘ข้อความธรรมดา’ บนระบบภายในของตน (เช่น ไม่ได้รับการป้องกันหรือเข้ารหัสด้วยการเข้ารหัส)” ประกาศของ DPC ระบุ ซึ่งในเอกสารเปิดเผยข้อมูลปี 2019 Meta ระบุว่าพบ “รหัสผ่านผู้ใช้บางราย” ที่เก็บไว้ในระบบของตนในรูปแบบที่อ่านได้ระหว่างการตรวจสอบความปลอดภัยตามปกติในช่วงต้นปี
สำหรับการเก็บรหัสผ่านบัญชีผู้ใช้โดยไม่มีการป้องกันที่เหมาะสม เช่น การเข้ารหัสและการควบคุมการเข้าถึง ถือเป็นการละเมิดกฎหมายหลายมาตราของ General Data Protection Regulation (GDPR) ที่เกี่ยวข้องกับมาตรการที่ผู้ควบคุมข้อมูลดำเนินการเพื่อรับประกันความปลอดภัยของข้อมูลของผู้คน:
มาตรา 33(1) – การแจ้งการละเมิดข้อมูลส่วนบุคคล: Meta ล้มเหลวในการแจ้ง DPC อย่างทันท่วงทีเกี่ยวกับการเก็บรหัสผ่านผู้ใช้ในรูปแบบข้อความธรรมดา ซึ่งถือเป็นการละเมิดข้อมูลส่วนบุคคล
มาตรา 33(5) – การบันทึกเอกสารการละเมิดข้อมูลส่วนบุคคล: Meta ไม่ได้บันทึกเอกสารการละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการเก็บรหัสผ่านผู้ใช้ในรูปแบบข้อความธรรมดาอย่างเหมาะสม ล้มเหลวในการรักษาบันทึกที่เพียงพอเกี่ยวกับเหตุการณ์
มาตรา 5(1)(f) – ความสมบูรณ์และความลับ: Meta ไม่ได้ดำเนินมาตรการความปลอดภัยที่เพียงพอเพื่อรับประกันการป้องกันรหัสผ่านของผู้ใช้ เนื่องจากเก็บไว้ในรูปแบบข้อความธรรมดา ขาดการเข้ารหัสหรือการป้องกันด้วยการเข้ารหัส
มาตรา 32(1) – ความปลอดภัยของการประมวลผล: Meta ล้มเหลวในการดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อป้องกันรหัสผ่าน เช่น การเข้ารหัส ซึ่งจะช่วยรักษาความลับของข้อมูลและลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต
อ่านเพิ่มเติมที่นี่ – BPC
